Meta-Beschreibung: Compliance-Verantwortliche und Datenschutzbeauftragte in DACH-regulierten Organisationen fragen: Ersetzt eine Datenschutz-Folgenabschätzung (DSFA) nach der DSGVO das Risikomanagementsystem nach der EU-KI-Verordnung? Dieser Leitfaden klärt, wo sich beide Rechtsrahmen überschneiden, wo sie auseinanderfallen und wie Sie den Geltungsbereich beider Instrumente in einem koordinierten Workflow abbilden.
Kurzübersicht
Die DSGVO (Verordnung (EU) 2016/679) schützt personenbezogene Daten. Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) schützt Gesundheit, Sicherheit und Grundrechte vor KI-bedingten Risiken – unabhängig davon, ob personenbezogene Daten verarbeitet werden. Hochrisiko-KI-Systeme, die zugleich personenbezogene Daten verarbeiten, fallen gleichzeitig unter beide Rechtsrahmen. Artikel 35 DSGVO (Datenschutz-Folgenabschätzung, DSFA) und Artikel 9 EU-KI-Verordnung (Risikomanagementsystem, RMS) regeln überschneidende, aber rechtlich eigenständige Verpflichtungen. Sie sind zu koordinieren – weder in einem einzigen Dokument zusammenzuführen noch als zwei voneinander getrennte Übungen zu verdoppeln. Automatisierte Entscheidungen im Einzelfall mit erheblichen Auswirkungen auf Personen aktivieren Artikel 22 DSGVO sowie – bei einschlägiger Anhang-III-Klassifizierung – die Grundrechte-Folgenabschätzung des Betreibers nach Artikel 26 Absatz 6 EU-KI-Verordnung. Wer einen der beiden Rechtsrahmen isoliert betreibt, schafft Prüfungslücken.
Inhalt
- Regelungsgegenstand beider Verordnungen
- Überschneidungsbereiche
- Divergenzbereiche
- Gegenüberstellung
- Praxisleitfaden zur Abgrenzung
- Häufige Fehler
- DACH-spezifische Besonderheiten
- Nächste Schritte
Regelungsgegenstand beider Verordnungen
DSGVO – Verordnung (EU) 2016/679
Die DSGVO gilt seit dem 25. Mai 2018. Sie bezweckt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie den freien Datenverkehr. Zu den grundlegenden Pflichten gehören:
- Rechtsgrundlage für jeden Verarbeitungsvorgang (Artikel 6; besondere Kategorien nach Artikel 9 DSGVO)
- Rechte der betroffenen Person: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch und Rechte im Zusammenhang mit automatisierten Entscheidungen im Einzelfall (Artikel 15–22 DSGVO)
- Rechenschaftspflicht durch Verzeichnis von Verarbeitungstätigkeiten, Datenschutz durch Technikgestaltung und Datenschutz-Folgenabschätzungen (Artikel 35 DSGVO)
- Auftragsverarbeiterketten: verbindliche Auftragsverarbeitungsverträge nach Artikel 28 DSGVO
- Sicherheit: angemessene technische und organisatorische Maßnahmen nach Artikel 32 DSGVO
Der Anwendungsbereich der DSGVO bestimmt sich nach dem Vorliegen personenbezogener Daten. Ein System, das niemals Daten verarbeitet, die einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können, liegt vollständig außerhalb ihres Regelungsbereichs.
EU-KI-Verordnung – Verordnung (EU) 2024/1689
Die EU-KI-Verordnung ist am 1. August 2024 in Kraft getreten. Die Hochrisikopflichten nach Anhang III gelten ab dem 2. August 2026. Regelungsgegenstand ist der Schutz von Gesundheit, Sicherheit und Grundrechten vor Risiken durch KI-Systeme – unabhängig davon, ob diese Systeme personenbezogene Daten verarbeiten. Die Klassifizierung richtet sich nach dem Risikoniveau des jeweiligen Systems.
Für Hochrisiko-KI-Systeme gelten insbesondere folgende Pflichten:
- Risikomanagementsystem über den gesamten KI-Lebenszyklus (Artikel 9 EU-KI-Verordnung)
- Datenverwaltung für Trainings-, Validierungs- und Testdaten (Artikel 10 EU-KI-Verordnung)
- Technische Dokumentation und Aufzeichnungspflichten (Artikel 11–12 EU-KI-Verordnung)
- Transparenz und menschliche Aufsicht (Artikel 13–14 EU-KI-Verordnung)
- Genauigkeit, Robustheit und Cybersicherheit (Artikel 15 EU-KI-Verordnung)
- Betreiberpflichten, einschließlich Grundrechte-Folgenabschätzung, soweit erforderlich (Artikel 26 EU-KI-Verordnung)
Der Anwendungsbereich der EU-KI-Verordnung bestimmt sich nach dem Vorliegen eines KI-Systems im Sinne von Artikel 3 Absatz 1 und dessen Risikoeinstufung. Ein menschlicher Analyst, der Kreditentscheidungen manuell ohne KI-Inferenzschicht trifft, unterliegt auch dann nicht der EU-KI-Verordnung, wenn seine Entscheidungen dieselbe Wirkung entfalten wie KI-gestützte.
Überschneidungsbereiche
Der dichteste Bereich doppelter Regulierung sind Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten – eine Kategorie, die die Mehrzahl der KI-Anwendungen in regulierten Unternehmenssektoren abdeckt.
Artikel 22 DSGVO und Anhang III Nummer 5 EU-KI-Verordnung
Artikel 22 DSGVO gewährt der betroffenen Person das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Anhang III Nummer 5 EU-KI-Verordnung stuft KI-Systeme, die für den Zugang zu wesentlichen Leistungen und Diensten eingesetzt werden – einschließlich Kreditwürdigkeitsprüfung und Versicherungsrisikobeurteilung –, als Hochrisikosysteme ein. Jedes System, das in Anhang III Nummer 5 fällt und eine Entscheidung mit rechtlicher oder vergleichbar erheblicher Wirkung auf eine natürliche Person erzeugt, aktiviert sowohl Artikel 22 DSGVO als auch das vollständige Hochrisiko-Regime nach Anhang III. Keine der beiden Vorschriften verdrängt die andere.
Artikel 35 DSGVO (DSFA), Artikel 27 EU-KI-Verordnung (Grundrechte-Folgenabschätzung) und Artikel 9 EU-KI-Verordnung (Risikomanagementsystem)
Artikel 35 DSGVO verlangt vor einer risikoreichen Verarbeitung eine Datenschutz-Folgenabschätzung. Artikel 26 Absatz 6 EU-KI-Verordnung verpflichtet Betreiber bestimmter Anhang-III-Systeme, vor der Inbetriebnahme eine Grundrechte-Folgenabschätzung (GRFA) durchzuführen. Artikel 9 EU-KI-Verordnung verpflichtet Anbieter dazu, ein kontinuierliches Risikomanagementsystem einzurichten und aufrechtzuerhalten.
Diese drei Instrumente decken überschneidende Sachverhalte ab – dasselbe KI-System, dieselben Daten, teilweise dieselben betroffenen Personen –, verfolgen jedoch rechtlich eigenständige Zwecke und liegen in der Verantwortung unterschiedlicher Akteure (Verantwortlicher vs. Anbieter vs. Betreiber). Den strukturierten Ansatz zur Integration dieser Folgenabschätzungen ohne redundante Dokumentation beschreibt der Praxisleitfaden zum Artikel 9 Risikomanagementsystem.
Artikel 28 DSGVO und Betreiberpflichten nach Artikel 26 EU-KI-Verordnung
Artikel 28 DSGVO regelt die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter durch einen Auftragsverarbeitungsvertrag. Artikel 26 EU-KI-Verordnung weist Pflichten spezifisch dem Betreiber zu – derjenigen natürlichen oder juristischen Person, die ein Hochrisiko-KI-System in eigener Verantwortung einsetzt. Beide Beziehungen sind nicht identisch. Ein Anbieter kann gleichzeitig DSGVO-Auftragsverarbeiter und Anbieter im Sinne der EU-KI-Verordnung sein; ein Betreiber kann zugleich Verantwortlicher nach der DSGVO sein und eigene Betreiberpflichten nach der EU-KI-Verordnung tragen. Der Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO überträgt keine Compliance-Pflichten des Betreibers nach der EU-KI-Verordnung auf den Anbieter. Beide Instrumente müssen im Lieferanten-Governance-Rahmen gesondert adressiert werden. Eine Analyse auf Klauselebene bietet der Leitfaden zu Artikel 26 Betreiberpflichten.
Divergenzbereiche
Das Verständnis der Bereiche, in denen sich die Rechtsrahmen nicht überschneiden, verhindert sowohl eine Überdehnung des Geltungsbereichs – die Ressourcen vergeudet – als auch eine Unterdehnung – die regulatorische Lücken schafft.
Nur EU-KI-Verordnung (keine DSGVO-Relevanz): Industrieroboter auf Fertigungsflächen ohne jedwede Verarbeitung personenbezogener Daten, Infrastrukturüberwachungssysteme, die ausschließlich Sensordaten verarbeiten, und KI-gestützte Qualitätskontrollsysteme, die weder personenbezogene Daten erzeugen noch verarbeiten, unterliegen der KI-Klassifizierung nach der EU-KI-Verordnung und – sofern Anhang III einschlägig ist – den vollständigen Hochrisikopflichten, ohne dass DSGVO-Pflichten entstehen.
Nur DSGVO (keine Relevanz der EU-KI-Verordnung): Manuelle Fallbearbeitung durch menschliche Sachbearbeiter, traditionelle regelbasierte Entscheidungssysteme ohne maschinelles Lernverfahren sowie Datenspeicherungs- und Archivierungsworkflows ohne KI-Komponente unterliegen der DSGVO, ohne dass Pflichten aus der EU-KI-Verordnung entstehen. Ein Compliance-Verantwortlicher, der Kreditanträge anhand einer strukturierten Checkliste prüft – wie auch immer detailliert –, liegt außerhalb des Anwendungsbereichs der EU-KI-Verordnung.
Diese Divergenz ist für die Abgrenzung wesentlich: Eine Organisation kann gleichzeitig Systeme betreiben, die nur ein DSGVO-Compliance-Programm erfordern, Systeme, die nur ein EU-KI-Verordnungs-Compliance-Programm erfordern, und Systeme, die ein koordiniertes Programm unter beiden Rechtsrahmen erfordern.
Gegenüberstellung
| Dimension | DSGVO (Verordnung (EU) 2016/679) | EU-KI-Verordnung (Verordnung (EU) 2024/1689) |
|---|---|---|
| Anwendungsauslöser | Verarbeitung personenbezogener Daten durch Verantwortlichen oder Auftragsverarbeiter | Inverkehrbringen, Inbetriebnahme oder Einsatz eines KI-Systems im Sinne von Artikel 3 Absatz 1 |
| Risikoeinstufung | Verarbeitungsvorgänge klassifiziert nach Risiko für betroffene Personen (Schwellenwerteliste nach Artikel 35) | KI-Systeme klassifiziert nach Risikostufe: verboten, Hochrisiko (Anhang III), begrenztes Risiko, minimales Risiko |
| Erforderliche Dokumentation | Verzeichnis von Verarbeitungstätigkeiten (Artikel 30); DSFA, soweit erforderlich (Artikel 35) | Technische Dokumentation (Artikel 11); Protokollierung (Artikel 12); Aufzeichnungen des Risikomanagementsystems nach Artikel 9 |
| Vordeployment-Folgenabschätzung | DSFA vor risikoreicher Verarbeitung; vorherige Konsultation der Aufsichtsbehörde bei verbleibendem hohem Restrisiko | Risikomanagementsystem nach Artikel 9 (Anbieter); Grundrechte-Folgenabschätzung nach Artikel 26 Absatz 6 (Betreiber bestimmter Anhang-III-Systeme) |
| Rechtsgrundlage | Explizite Rechtsgrundlage nach Artikel 6 erforderlich; besondere Kategorien nach Artikel 9 DSGVO | Kein vergleichbares Rechtsgrundlagenerfordernis; Compliance gemessen an Anhang-III-Kriterien und Artikel 9 Risikomanagementsystem |
| Rechte betroffener Personen | Artikel 15–22 DSGVO: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch, menschliche Überprüfung automatisierter Entscheidungen | Recht auf Erläuterung individueller Entscheidungen (Artikel 86); Transparenz durch Gebrauchsanweisungen (Artikel 13) |
| Transparenzpflichten | Datenschutzhinweis; Auskunft über Logik automatisierter Entscheidungen auf Anfrage (Artikel 22 Absatz 3 DSGVO) | Transparenz gegenüber natürlichen Personen (Artikel 13); Maßnahmen zur menschlichen Aufsicht (Artikel 14) |
| Sanktionen | Bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist | Bis zu EUR 35 Mio. oder 7 % des Umsatzes (verbotene KI); EUR 15 Mio. oder 3 % des Umsatzes (sonstige Verstöße) |
| Aufsichtsbehörde (DACH) | BfDI (Bundesebene), Landesdatenschutzbehörden; im Finanzsektor sektorale Aufsicht durch BaFin | Nationale Marktüberwachungsbehörden; Deutschland benennt Behörden nach Artikel 70–71 EU-KI-Verordnung |
| Geltungsbeginn | 25. Mai 2018 | Hochrisikopflichten: 2. August 2026; verbotene KI-Systeme: 2. Februar 2025 |
Praxisleitfaden zur Abgrenzung
Die nachfolgende Abfolge ermöglicht es, für ein konkretes System zu bestimmen, welche Pflichten ausgelöst werden, und die Folgenabschätzungen zu koordinieren.
Schritt 1 – Verarbeitet das System personenbezogene Daten? Falls ja, ist die DSGVO anwendbar. Bestimmen Sie den Verantwortlichen, legen Sie die Rechtsgrundlage nach Artikel 6 DSGVO fest, prüfen Sie, ob besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO betroffen sind, und beurteilen Sie die DSFA-Pflicht nach Artikel 35 DSGVO. Falls nein, ist die DSGVO nicht anwendbar; fahren Sie mit Schritt 2 zur Abgrenzung der EU-KI-Verordnung fort.
Schritt 2 – Handelt es sich um ein KI-System im Sinne von Artikel 3 Absatz 1 EU-KI-Verordnung? Artikel 3 Absatz 1 EU-KI-Verordnung definiert ein KI-System als maschinenbasiertes System, das mit einem variierenden Grad an Autonomie betrieben wird und das – für ein gegebenes Set von Zielen – aus Eingaben ableitet, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt werden können, die reale oder virtuelle Umgebungen beeinflussen. Regelbasierte Entscheidungssysteme ohne Inferenzverfahren erfüllen diese Definition nicht. Liegt kein KI-System vor, ist die EU-KI-Verordnung nicht anwendbar.
Schritt 3 – Fällt das System unter die Hochrisikokategorien des Anhangs III? Anhang III benennt acht Bereiche, darunter biometrische Identifizierung, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche private und öffentliche Dienste, Strafverfolgung, Migration und Grenzkontrolle sowie Rechtspflege. Fällt das System in eine der genannten Kategorien und sind die Voraussetzungen von Artikel 6 EU-KI-Verordnung erfüllt, gelten die vollständigen Hochrisikopflichten. Andernfalls prüfen Sie, ob begrenzte Transparenzpflichten nach Artikel 50 EU-KI-Verordnung eingreifen.
Schritt 4 – Koordination von DSFA nach Artikel 35 DSGVO und Risikomanagementsystem nach Artikel 9 EU-KI-Verordnung. Sind sowohl DSGVO- als auch EU-KI-Verordnungs-Hochrisikopflichten einschlägig, decken DSFA und Risikomanagementsystem überschneidende Sachverhalte ab. Organisieren Sie die Dokumentation so, dass jedes Instrument für die jeweilige Aufsichtsbehörde eigenständig lesbar ist, dabei jedoch auf einer gemeinsamen Tatsachengrundlage aufbaut: Systembeschreibung, Datenflüsse, Risikoidentifikation und Minderungsmaßnahmen. Der Praxisleitfaden zum Artikel 9 Risikomanagementsystem enthält eine Mapping-Tabelle gemeinsamer Eingabefelder.
Schritt 5 – Anwendung von Artikel 22 DSGVO und Grundrechte-Folgenabschätzung nach Artikel 26 Absatz 6 EU-KI-Verordnung bei automatisierten Entscheidungen mit erheblichen Auswirkungen. Trifft das System Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung auf natürliche Personen ohne sinnvollen menschlichen Eingriff, ist Artikel 22 DSGVO anwendbar, und der Betreiber muss Schutzmaßnahmen einschließlich des Rechts auf menschliche Überprüfung bereitstellen. Ist das System zugleich nach Anhang III eingestuft, verlangt Artikel 26 Absatz 6 EU-KI-Verordnung eine Grundrechte-Folgenabschätzung vor der Inbetriebnahme. Die Verfahrensanforderungen beider Instrumente erläutert der Leitfaden zu Artikel 26 Betreiberpflichten. GRFA und Schutzmaßnahmen nach Artikel 22 DSGVO können in einer einzigen strukturierten Beurteilung dokumentiert werden, sofern die Anforderungen beider Rechtsrahmen explizit erfüllt werden.
Häufige Fehler
Zwei voneinander getrennte Compliance-Programme. Organisationen richten häufig ein DSGVO-Programm unter Leitung des Datenschutzbeauftragten und ein EU-KI-Verordnungs-Programm in einem separaten Workstream ohne formalisierte Übergabe ein. Das führt zu widersprüchlichen Systembeschreibungen, doppelten Risikoregistern und inkonsistenten Minderungsmaßnahmen – alles Faktoren, die unter beiden Rechtsrahmen Prüfungsrisiken erzeugen. Eine einzige funktionsübergreifende Governance-Struktur mit klar definierter Verantwortung ist belastbarer.
Die DSFA als Ersatz für das Risikomanagementsystem der EU-KI-Verordnung behandeln. Die DSFA nach Artikel 35 DSGVO ist eine Stichtagsbeurteilung vor risikoreicher Verarbeitung. Das Risikomanagementsystem nach Artikel 9 EU-KI-Verordnung ist ein kontinuierlicher, lebenszyklus-begleitender Prozess, der bei jeder wesentlichen Änderung des KI-Systems zu überprüfen ist. Es handelt sich um strukturell verschiedene Instrumente. Eine zum Zeitpunkt des Onboardings erstellte DSFA genügt den iterativen Anforderungen des Artikel 9 EU-KI-Verordnung nicht.
Annahme, dass der DSGVO-Auftragsverarbeitungsvertrag die Compliance nach der EU-KI-Verordnung abdeckt. Auftragsverarbeitungsverträge nach Artikel 28 DSGVO weisen Auftragsverarbeiterpflichten im Hinblick auf personenbezogene Daten zu. Sie übertragen weder Anbieterpflichten nach der EU-KI-Verordnung auf den Anbieter noch erfüllen sie die eigenen Betreiberpflichten nach Artikel 26 EU-KI-Verordnung. Jede Organisation, die ein Hochrisiko-KI-System einsetzt, trägt Betreiberpflichten nach Artikel 26 EU-KI-Verordnung unabhängig von der vertraglichen Gestaltung mit dem Anbieter. Lieferanten-Governance-Rahmen müssen beide Instrumente gesondert adressieren.
Transparenzpflichten der EU-KI-Verordnung mit DSGVO-Datenschutzhinweisen gleichsetzen. Artikel 13 EU-KI-Verordnung verpflichtet Anbieter, ihre Systeme so transparent zu gestalten, dass Betreiber ihren eigenen Pflichten nachkommen können. Artikel 13–14 DSGVO verpflichten Verantwortliche, betroffenen Personen Informationen über die Verarbeitung bereitzustellen. Diese Pflichten verfolgen unterschiedliche Zwecke, richten sich an unterschiedliche Adressaten und werden von unterschiedlichen Aufsichtsbehörden durchgesetzt.
DACH-spezifische Besonderheiten
Deutschsprachige Organisationen agieren unter zusätzlichen regulatorischen Erwartungen, die beide Rechtsrahmen überlagern.
BfDI-Orientierungen zu KI und personenbezogenen Daten. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat Orientierungshilfen zur Schnittmenge von KI-Anwendungen und Rechten betroffener Personen veröffentlicht, mit besonderem Fokus auf die Transparenzanforderungen des Artikel 22 Absatz 3 DSGVO und die Wechselwirkung mit automatisierter Profilerstellung. Compliance-Verantwortliche sollten BfDI-Veröffentlichungen verfolgen, da die nationale Aufsichtsstruktur der EU-KI-Verordnung noch abschließend festgelegt wird.
Landesdatenschutzbehörden. Wird die Verarbeitung durch Behörden der Länder oder durch Privatorganisationen vorgenommen, die der Landesaufsicht unterliegen, kann die zuständige Landesbehörde – beispielsweise das Bayerische Landesamt für Datenschutzaufsicht (BayLfDA) für Bayern oder die Berliner Beauftragte für Datenschutz und Informationsfreiheit – eigene Orientierungen zu KI-Anwendungen erlassen. Die Programmgestaltung muss die jeweils zuständige Landesdatenschutzbehörde berücksichtigen.
BaFin MaRisk AT 9. Regulierte Finanzinstitute, die den Mindestanforderungen an das Risikomanagement (MaRisk) unterliegen, tragen eine zusätzliche Compliance-Schicht nach AT 9, der Auslagerungsanforderungen und die Beurteilung von Drittanbieterrisiken regelt. AT 9 gilt für KI-Systeme, die von externen Anbietern bezogen werden, und begründet Pflichten, die strukturell analog zu – rechtlich jedoch unabhängig von – DSGVO-Auftragsverarbeiterpflichten und EU-KI-Verordnungs-Betreiberpflichten sind. Ein koordinierter Governance-Rahmen muss alle drei Anforderungssets gegen denselben Anbieter und dasselbe System abbilden.
BSI C5 und technische Kontrollen. Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) legt Basis-Sicherheitsanforderungen für Cloud-Dienste fest, auf denen viele KI-Einsätze aufsetzen. Wird ein KI-System über einen nach C5 zertifizierten Cloud-Dienst bereitgestellt, kann die technische Kontrolldokumentation als Eingabe sowohl für das Risikomanagementsystem nach Artikel 9 EU-KI-Verordnung als auch für die Sicherheitsbeurteilung nach Artikel 32 DSGVO genutzt werden – was Doppelarbeit reduziert, ohne die Instrumente zu vermengen.
Nächste Schritte
Organisationen, die diese Abgrenzungsarbeit erstmals angehen, profitieren von einer initialen Klassifizierung der in Scope befindlichen KI-Systeme, bevor sie sich auf ein Programmdesign festlegen. Der EU AI Act Quick Scan bietet einen strukturierten Einstiegspunkt zur Einstufung eines Systems nach Risikostufe sowie zur Identifikation der jeweils einschlägigen DSGVO- und EU-KI-Verordnungs-Pflichten.
Für Organisationen, die die initiale Klassifizierung abgeschlossen haben und koordinierte DSFA- und RMS-Dokumentation erarbeiten oder die Grundrechte-Folgenabschätzung nach Artikel 26 EU-KI-Verordnung adressieren müssen, bietet EKM Global Consulting GmbH strukturierte Beratungsmandate an. Weitere Informationen zum Beratungsumfang finden Sie unter ekmgc.de/eu-ai-act.html.
EKM Global Consulting GmbH, Baden-Baden. Beratung zu EU-KI-Verordnungs-Compliance, DSGVO-Programmintegration und Drittanbieter-Risikomanagement für regulierte Organisationen im DACH-Raum. Gegründet Januar 2013. Geschäftsführer: Elshan Musayev.